bluetooth 1690677 640 300x226Het beveiligingsbedrijf Armis heeft ontdekt dat zo’n 5,3 miljard apparaten met bluetooth-functie kwetsbaar zijn voor een BlueBorne-aanval. De aanval maakt gebruik van acht kwetsbaarheden in bluetooth-implementaties van Windows, Linux, iOS en Android. Het gaat hierbij om allerlei apparaten met een bluetooth-functie, zoals laptops, smartphones en smartwatches. Er zijn wereldwijd zo’n 8,2 miljard apparaten met bluetooth in omloop, waarvan er dus zo’n 5,3 miljard kwetsbaar zijn volgens het bedrijf.

(OVERGENOMEN VAN COMPUTERWORLD.NL)

Een gat in Bluetooth gaat vooral Linux- en Android-apparaten die niet bijgewerkt (kunnen) worden nog lang parten spelen. Ook gebruikers van Windows en iOS die met oude versies werken of geen updates (kunnen) uitvoeren zijn kwetsbaar voor een worm via exploitmethode Blueborne. Wat is dat precies, wat is kwetsbaar en waar zijn de patches?

1. Wat is de kwetsbaarheid?

Het gaat niet om een kwetsbaarheid in de Bluetooth-specificatie zelf, maar om de implementatie ervan. IoT-beveiliger Armis waarschuwde vorige week voor hetzelfde probleem in vier Bluetooth-stacks, namelijk in Linux, Windows, Android en iOS. De eerste levert problemen op bij diverse op Linux gebaseerde IoT-besturingssytemen, waaronder Samsungs Tizen.

Beveiligingsbedrijf Armis ontdekte de kwetsbaarheid en gaf het de naam Blueborne naar de vergelijking met een biologisch virus: eenmaal in de lucht verspreidt malware zich razendsnel onder vatbare apparaten. In samenspraak met fabrikanten worden er nu technische details onthuld in deze whitepaper: PDF. In totaal heeft het bedrijf 8 zerodays gevonden.

Ook apparaten die niet vindbaar zouden moeten zijn, worden te grazen genomen via de page scan mode, die ervoor zorgt dat Bluetooth wel luistert of er nieuwe verbindingen beschikbaar komen. Een slechterik hoeft niet te koppelen aan een zichtbaar apparaat, maar kan de Bluetooth-aanval uitvoeren als hij of zij weet dat een geactiveerd apparaat in de buurt is.

2. Is er een overkoepelend probleem?

Volgens de onderzoekers wel, namelijk dat de specificatie te complex is. Ze vergelijken het met de 802.11-specificatie. Die is 450 pagina's lang, terwijl de Bluetooth-specificatie 2822 pagina's lang is. Meer onnodige complexiteit vergroot de kans op fouten die ook nog eens lastiger op te sporen zijn, tenzij je heel goed bekend bent met de gedetailleerde werking.

3. Wat is de impact?

Het grootste probleem zijn Android en Linux-apparaten, omdat in deze aanval een bufferoverloopelement bevat waarmee aanvallers vrij spel krijgen op deze apparaten. Het rampscenario is dat aanvallers een Bluetooth-worm in elkaar zetten, waarna deze malware zich met deze exploitmethode verspreid bij gebruikers die door een massa andere Bluetooth-verbindingen bewegen.

Gebruikers wordt geadviseerd om Bluetooth standaard uit te schakelen (wat sowieso goed advies is, als het niet om security-redenen is, dan wel om de accu te sparen). Voor diverse apparaten zijn er updates uitgebracht om de Bluetooth-implementatie te patchen en hieronder lichten we de oplossingen per besturingssysteem toe.

4. Is mijn apparaat vatbaar?

De kwetsbaarheid werd eerder dit jaar opgemerkt en samen met de grote producenten werden patches geschreven. Deze zijn deze zomer uitgerold, maar fabrikanten traden niet in detail over de details van de lekken totdat de patches breder beschikbaar waren. Vorige week stapte Armis naar buiten met de informatie over deze kwetsbaarheid.

Gebruikers die bijvoorbeeld in juli Windows hebben bijgewerkt, zijn daarom niet meer kwetsbaar. Apparaten van Apple zijn veelal al gepatcht. Apparaten die zijn gestoeld op Linux-kernel 3.3 of hoger (uit oktober 2011) zijn kwetsbaar, tenzij de fabrikant patches uitbrengt. Dat betekent waarschijnlijk dat een heleboel IoT-apparaten kwetsbaar zijn en blijven.

5. Hoe zit het met Windows?

Microsoft bracht patches uit voor alle nog ondersteunde versies van Windows om het gat te repareren. De patches pakken de Bluetooth-implementatie van het softwarebedrijf aan om ervoor te zorgen dat de malafide aanvragen worden geblokkeerd. De patches vind je in de lijst van deze advisory.

6. Hoe zit het met Android?

Er zijn patches beschikbaar vanaf Androidversie 4.4.4 (de laatste versie van KitKat), maar veel apparaten ontvangen geen updates meer. Eerder deze maand bracht Google een beveiligngspatch uit die fabrikanten kunnen toepassen. Het is ook goed om te weten dat het probleem zit in Bluetooth en niet in BLE, wat veel wearables gebruiken om contact te maken.

Als je Android 4.4.4 of hoger hebt en twijfelt of je een patch hebt gekregen: het beveiligingsbedrijf heeft deze app op Google Play gezet die controleert of je Bluetooth-verbinding kwetsbaar is voor deze aanval.

7. Hoe zit het met iOS?

Apple-apparaten zijn al niet meer kwetsbaar vanaf iOS 10 en maar een klein deel van de iPhone- of iPad-gebruikers gebruikt nog iOS 9.3.5 of ouder. Gebruikers die daar nog op zitten, wordt verzocht te upgraden. Hetzelfde geldt voor AppleTV, apparaten met versie 7.2.2 of lager kunnen upgraden naar het nieuwere tvOS (9.0 of hoger)

8. Hoe zit het met Linux?

Alle Linux-apparaten die BlueZ draaien zijn vatbaar. Vorige week kwam er een nieuwe versie uit die het probleem moet oplossen (versie 5.47). Voor de Linux-kernel zelf is deze commit verschenen die het issue moet oplossen.

Momenteel worden patches uitgerold voor de grotere distributies. Debian zorgde al voor beveiligingsfixes voor Stretch en Jessie om het probleem deels aan te pakken, en volgt het Bluetooth-issue zelf op deze pagina en hier komen ook de patches ervoor uit.

Red Hat stelt een live kernelpatch beschikbaar voor gebruikers van RHEL 7.2 of hoger. Voor 6.2 en daarna (6.2 is de laatste die nog officieel wordt ondersteund) krijgt ook patches. Meer informatie daarover vind je hier. Red Hats Atomic Host bevat geen Bluetooth en is daarom uiteraard niet kwetsbaar.